Nationale Clouds

Nationale Clouds (auch als Sovereign Clouds bezeichnet) sind physisch isolierte Azure-Instanzen. Diese Regionen von Azure sollen dafür sorgen, dass Anforderungen an Datenresidenz, Datenhoheit und Compliance innerhalb geografischer Grenzen erfüllt werden.

Neben der globalen Azure-Cloud wird Azure Active Directory (Azure AD) in den folgenden nationalen Clouds bereitgestellt:

Die einzelnen nationalen Clouds und die globale Azure-Cloud sind Cloud-Instanzen. Jede Cloudinstanz ist von den anderen getrennt und verfügt über eine eigene Umgebung und Endpunkte. Cloudspezifische Endpunkte umfassen OAuth 2.0-Zugriffstoken und OpenID Connect ID-Token-Anforderungsendpunkte sowie URLs für die App-Verwaltung und -Bereitstellung, z.B. das Azure-Portal.

Verwenden Sie beim Entwickeln Ihrer Apps die Endpunkte für die Cloudinstanz, in der Sie die Anwendung bereitstellen wollen.

App-Registrierungsendpunkte

Es gibt für jede nationale Cloud ein separates Azure-Portal. Um Anwendungen mit der Microsoft Identity Platform in eine nationale Cloud zu integrieren, müssen Sie Ihre Anwendung jeweils separat im speziellen Azure-Portal für die Umgebung registrieren.

Die folgende Tabelle enthält die Basis-URLs für die Azure AD-Endpunkte, die zum Registrieren einer Anwendung für die einzelnen nationalen Clouds verwendet werden.

Nationale Cloud Azure-Portal-Endpunkt
Azure-Portal für US-Regierungsbehörden https://portal.azure.us
Azure-Portal China, betrieben von 21Vianet https://portal.azure.cn
Azure-Portal (globaler Dienst) https://portal.azure.com

Anwendungsendpunkte

Sie können die Authentifizierungsendpunkte für Ihre Anwendung im Azure-Portal ermitteln.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie Azure Active Directory aus.

  3. Wählen Sie unter Verwalten die Option App-Registrierungen und dann Endpunkte im oberen Menü aus.

    Die Seite Endpunkte wird angezeigt, auf der die Authentifizierungsendpunkte für Ihre im Azure AD Mandanten registrierte Anwendung angezeigt werden.

    Verwenden Sie den Endpunkt, der dem Authentifizierungsprotokoll entspricht, das Sie zusammen mit der Anwendungs-ID (Client-ID) zum Erstellen der spezifischen Authentifizierungsanforderung für Ihre Anwendung verwenden.

Azure AD-Authentifizierungsendpunkte

Alle nationalen Clouds authentifizieren Benutzer in jeder Umgebung separat und verfügen über separate Authentifizierungsendpunkte.

Die folgende Tabelle enthält die Basis-URLs für die Azure AD-Endpunkte, die zum Abrufen von Token für die einzelnen nationalen Clouds verwendet werden.

Nationale Cloud Azure AD-Authentifizierungsendpunkt
Azure AD für US-Regierungsbehörden https://login.microsoftonline.us
Azure AD China, betrieben von 21Vianet https://login.partner.microsoftonline.cn
Azure AD (globaler Dienst) https://login.microsoftonline.com

Anforderungen an die Autorisierungs- oder Tokenendpunkte von Azure AD können mit der entsprechenden regionsspezifischen Basis-URL generiert werden. Beispielsweise, für globales Azure:

  • Der allgemeine Autorisierungsendpunkt ist https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
  • Der allgemeine Tokenendpunkt ist https://login.microsoftonline.com/common/oauth2/v2.0/token.

Ersetzen Sie bei Anwendungen mit einem Mandanten in den oben genannten URLs „common“ durch die ID oder den Namen Ihres Mandanten. z. B. https://login.microsoftonline.com/contoso.com.

Azure Deutschland (Microsoft Cloud Deutschland)

Wenn Sie Ihre Anwendung noch nicht aus Azure Deutschland migriert haben, befolgen Sie die Informationen zum Azure Active Directory für die Migration aus Azure Deutschland, um zu beginnen.

Microsoft Graph-API

Informationen zum Aufrufen der Microsoft Graph-APIs in der Umgebung der nationalen Cloud finden Sie unter Microsoft Graph in nationalen Cloudbereitstellungen.

Einige Dienste und Funktionen in der globalen Azure-Cloud sind möglicherweise in anderen Cloudinstanzen wie den nationalen Clouds nicht verfügbar.

Informationen dazu, welche Dienste und Funktionen in einer bestimmten Cloudinstanz verfügbar sind, finden Sie unter Verfügbare Produkte nach Region.

Um zu erfahren, wie Sie eine Anwendung mithilfe der Microsoft Identity Plattform erstellen, folgen Sie der Einzelseitenanwendung (SPA) mithilfe des Tutorials zum Authentifizierungscodeflow. Speziell mit dieser App wird ein Benutzer angemeldet und ein Zugriffstoken zum Aufrufen der Microsoft Graph-API abgerufen.

Nächste Schritte

Erfahren Sie, wie Sie Microsoft Authentication Library (MSAL) in einer nationalen Cloudumgebung verwenden.

Dokumentation zur nationalen Cloud: